DSGVO im ERP-Kontext – Datenschutz in Enterprise-Resource-Planning-Systemen
Definition: DSGVO im ERP-Kontext umfasst alle technischen, organisatorischen und prozessualen Maßnahmen, mit denen ein Unternehmen die Vorgaben der EU-Datenschutz-Grundverordnung in seinem Enterprise-Resource-Planning-System umsetzt – von rechtmäßiger Datenverarbeitung über Betroffenenrechte bis zur revisionssicheren Löschung personenbezogener Daten.
Da ein ERP-System praktisch in jedem Modul personenbezogene Daten verarbeitet – Kunden, Lieferanten, Ansprechpartner, Mitarbeitende, Bewerber, Interessenten – bildet es regelmäßig den Kern der DSGVO-Umsetzung in Vertrieb, Einkauf, Personal und Buchhaltung. Datenschutz ist hier keine Zusatzfunktion, sondern eine Querschnittsanforderung an Architektur, Berechtigungen und Prozesse.
Rechtsgrundlagen und Grundprinzipien
Die DSGVO (Verordnung (EU) 2016/679) gilt seit Mai 2018 unmittelbar in allen EU-Mitgliedstaaten und wird in Deutschland durch das BDSG ergänzt. Für den Betrieb eines ERP-Systems sind insbesondere die Grundsätze aus Art. 5 DSGVO maßgeblich: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.
Personenbezogene Daten dürfen nur auf einer der in Art. 6 DSGVO genannten Rechtsgrundlagen verarbeitet werden – etwa Vertragserfüllung bei Kundenbestellungen, rechtliche Verpflichtung bei steuerrelevanten Belegen oder berechtigtes Interesse bei Bonitätsprüfungen. Diese Rechtsgrundlagen müssen je Verarbeitungstätigkeit dokumentiert sein.
Pflichten beim Betrieb eines ERP-Systems
Im ERP-Umfeld sind insbesondere folgende Pflichten relevant: Führen eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO), Abschluss von Auftragsverarbeitungsverträgen mit Cloud-Anbietern, Hosting-Providern und IT-Dienstleistern (Art. 28 DSGVO), Durchführung von Datenschutz-Folgenabschätzungen bei riskanten Verarbeitungen (Art. 35 DSGVO) sowie die Umsetzung von Privacy by Design und Privacy by Default (Art. 25 DSGVO).
Zentrale Bedeutung haben die Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Ein ERP-System muss in der Lage sein, alle zu einer Person gespeicherten Datensätze über Module hinweg zu finden, zu exportieren oder zu löschen – meist über zentrale Such- und Reportfunktionen.
Technische und organisatorische Maßnahmen (TOM)
Art. 32 DSGVO verlangt geeignete TOM zur Sicherstellung der Datensicherheit. Im ERP-Bereich gehören dazu: rollenbasiertes Berechtigungskonzept mit Funktionstrennung, Verschlüsselung gespeicherter und übertragener Daten, Pseudonymisierung sensibler Felder, Audit-Trails und Protokollierung kritischer Zugriffe, regelmäßige Penetrationstests sowie ein dokumentiertes Backup- und Wiederanlaufkonzept.
Ein wirksames Löschkonzept ist besonders anspruchsvoll: Steuer- und handelsrechtliche Aufbewahrungspflichten (siehe GoBD) verlangen oft Aufbewahrungszeiten von zehn Jahren, während die DSGVO eine zeitnahe Löschung nicht mehr benötigter Daten fordert. Lösung: Sperrung statt Löschung, gestaffelte Löschfristen je Datenkategorie und ein automatisierter Löschlauf.
Cloud-ERP und internationale Datenübermittlung
Beim Einsatz von SaaS-ERP-Lösungen sind zusätzlich Anforderungen an Drittlandtransfers nach Kapitel V DSGVO zu prüfen. Nach dem Schrems-II-Urteil und dem EU-US Data Privacy Framework müssen Unternehmen sorgfältig prüfen, ob Standardvertragsklauseln, ergänzende Maßnahmen oder Angemessenheitsbeschlüsse greifen. Anbieter mit europäischen Rechenzentren und EU-eingebundenen Datenflüssen reduzieren das Risiko deutlich.
Risiken, Sanktionen und Praxiseffekte
Verstöße gegen die DSGVO sind teuer: Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes verhängen, je nachdem, welcher Wert höher ist. In den vergangenen Jahren haben Unternehmen aus Telekommunikation, Handel und Industrie Bußgelder im hohen einstelligen oder zweistelligen Millionenbereich erhalten – oft im direkten Zusammenhang mit ERP- und CRM-Datenpannen.
Neben Bußgeldern drohen Reputationsschäden, Schadenersatzforderungen Betroffener (Art. 82 DSGVO) und der Verlust von Kunden- bzw. Geschäftspartnerbeziehungen. In Vergaben und Lieferantenaudits sind nachgewiesene Datenschutzkonzepte längst Voraussetzung – wer hier nicht liefern kann, ist außen vor.
Praxistipps für ERP-Verantwortliche
Bewährt hat sich ein iteratives Vorgehen: Erstens, einen Datenkatalog je ERP-Modul erstellen und Verarbeitungstätigkeiten ableiten. Zweitens, einen klaren Verantwortlichen pro Datenobjekt benennen (Data Owner). Drittens, Standardprozesse für Auskunfts- und Löschanfragen aufsetzen, idealerweise als Workflow im ERP. Viertens, Berechtigungen mindestens jährlich auditieren. Fünftens, regelmäßige Schulungen für Anwender mit besonderen Berechtigungen.
Ein häufig übersehener Hebel sind Test- und Entwicklungssysteme: Echtdaten dürfen dort nur stark eingeschränkt verwendet werden. Anonymisierung oder synthetische Datensätze sind Pflicht für saubere Privacy by Design.
Häufige Fragen
- Ist ein Datenschutzbeauftragter beim Einsatz eines ERP-Systems Pflicht?
- Ein Datenschutzbeauftragter ist nicht wegen des ERP-Einsatzes selbst, sondern aufgrund unternehmensbezogener Kriterien Pflicht – etwa wenn mindestens 20 Personen ständig automatisiert mit personenbezogenen Daten arbeiten oder besonders schützenswerte Daten verarbeitet werden. In der Praxis erfüllt ein ERP-Einsatz diese Schwelle in mittelständischen Unternehmen sehr häufig.
- Wie setzt man das Recht auf Löschung in einem ERP-System um?
- Sinnvoll ist ein gestaffeltes Löschkonzept: Daten werden zunächst gesperrt (Berechtigungs- und Sichtbarkeitsentzug), nach Ablauf aller gesetzlichen Aufbewahrungsfristen automatisiert gelöscht oder anonymisiert. Moderne ERP-Systeme bieten dafür dedizierte Löschmodule mit Datenkategorien, Fristen und Protokollierung.
- Welche Rolle spielt die DSGVO bei der ERP-Auswahl?
- Datenschutzanforderungen sollten ins Lastenheft aufgenommen werden – mit konkreten Kriterien zu Hosting-Standort, Auftragsverarbeitungsvertrag, Verschlüsselung, Berechtigungs- und Löschkonzept. Anbieter sollten Zertifizierungen (z. B. ISO 27001, BSI C5) und ein nachvollziehbares Privacy-by-Design-Konzept nachweisen.